条件竞争

Limit overrun race conditions： https://portswigger.net/web-security/race-conditions/lab-race-conditions-limit-overrun

靶场通关条件：需要购买第一件商品皮夹克，我这里第一次买了其他商品，显示未完成。

进入靶场，先登录账号，使用靶场给出的账号登录（wiener:peter）。登录成功后可以看到账号有 50$。

然后点击一个商品，添加到购物车，填写优惠码可以有折扣。

正常使用优惠码，可以看到便宜了 8.42$

remove 优惠码后，再次填写，然后我们使用 burp 抓取 apply 的这个数据包，发送到Turbo Intruder，选择 race.py 这个脚本，并发攻击。需要多试几次，将金额降到可以购买的程度。

成功并发后，返回页面可以看到金额便宜了 24.85$

下订单，成功购买。可以看到我们的账号余额为 32.79。漏洞利用成功。